AppleとAmazonがサーバー内の中国のスパイチップを拒否 (04.26.24)

今月初めの憂慮すべき発表で、ブルームバーグは、アップル、アマゾン、および大手銀行や政府請負業者を含む他の28の米国企業が、これらの企業が使用するコンピューターサーバーのハードウェアに埋め込まれた中国のスパイチップに侵入したことを明らかにしました。 「ビッグハック:中国が小さなチップを使って米国企業に侵入した方法」という見出しのストーリーは、バックドアが米粒ほどの小さなチップを使って作成され、米国の技術サプライチェーンを危険にさらしていることを明らかにしました。

上記のコンピューターサーバーは、サンノゼを拠点とする会社であり、サーバーのマザーボード、チップ、コンデンサーの世界最大のサプライヤーの1つであるSuperMicroによって組み立てられました。疑わしい中国のスパイチップはサーバーのマザーボードにネストされていましたが、実際には元の設計の一部ではありませんでした。

調査によると、これらのチップにより、ハッカーはマシンが含まれているネットワークへのステルスバックドアを作成できました。報告によると、チップは中国の製造下請け業者が所有する工場に挿入されました。

ブルームバーグは、この攻撃は以前に行われた以前のセキュリティ違反よりも悪いと警告を発しました。私たちが慣れ親しんでいる攻撃のほとんどはソフトウェアベースですが、これはハードウェアベースです。ソフトウェア攻撃は、ハードウェアのハッキングよりも一般的です。ハードウェアの一部にスパイチップをいじったり隠したりするよりも、リモート接続を介してバグを送信する方が簡単だからです。ハードウェア攻撃はより複雑で実行が困難ですが、その影響はより破壊的で長期的です。

企業スパイのほかに、攻撃が真実であることが証明された場合、チップが見つかったサーバーは国防総省、CIAのドローン作戦、海軍軍艦によっても使用されていたため、攻撃は米軍と法執行機関を危険にさらす可能性があります。とりわけ。

業界の反応

ブルームバーグによると、Appleの上級インサイダーは2015年の夏にチップを発見し、その結果をFBIに報告しましたが、詳細は黙っていました。チップが発見されてから1年後、AppleはSuper Microと別れ、データセンターから7,000台のSuperMicroサーバーをすべて削除しました。

しかし、Appleはメディアに発表された声明で、これらすべての噂を否定しました。 Appleはサーバーにスパイチップの証拠を持っていません。 Appleによると、ブルームバーグは過去1年間に、セキュリティインシデントの申し立てで数回連絡を取りました。問い合わせに基づいて内部調査が行われたが、Appleは「それらのいずれかを裏付ける証拠をまったく見つけていない」。

声明は、Appleが中国のスパイチップ、ハードウェアの改ざん、またはサーバーに意図的に植え付けられた脆弱性を発見しなかったことを強調しました。同社はまた、事件についてFBIまたは法執行機関に連絡することを拒否しました。

アップルはブルームバーグのレポートに失望を表明し、メディアの巨人がこの事件を2016年の以前のセキュリティ問題と混同した可能性があると説明しました。あるラボの1台のSuperMicroサーバーで感染したドライバーが見つかりました。

アマゾンも、ブルームバーグの記事に非常に多くの誤りがあるとして、報告を否定しました。アマゾンウェブサービス(AWS)の最高情報セキュリティ責任者であるSteve Schmidtが発表した声明は、次のように述べています。

「Elementalサーバーで変更されたハードウェアや悪意のあるチップは見つかりませんでした。それを除けば、どのデータセンターのサーバーでも、変更されたハードウェアや悪意のあるチップは見つかりませんでした。」

Elementalは、Amazonが買収を検討していた技術系新興企業であり、悪意のあるチップが発見された場所です。

Appleの情報セキュリティ担当副社長GeorgeStathakopoulosは、別の声明で、ブルームバーグの中国に関するレポートについても述べています。スパイチップは、ブルームバーグが主張する17の画像を裏付けるものではなく、単一の画像によって作成されました。

ブルームバーグは、そのレポートの信憑性を支持しています。

消費者への影響

これらすべての噂は私たちと何の関係がありますか? Appleやその他の企業のセキュリティは、消費者のデータのセキュリティに関連しているため、この問題は非常に重要です。たとえば、これらの悪意のあるチップが原因でAppleユーザーのデータが危険にさらされる可能性があります。

消費者としてできることはあまりありませんが、データが保護されていることを確認してください。コンピューターから収集できる機密データがないことを確認する方法の1つは、Outbyte MacRepairなどのアプリを使用して、すべてのごみ箱ファイルを完全に削除することです。これらのハッカーがあなたがジャンクファイルと見なすものから何を掘り起こすことができるかは決してわかりません。

Amazonユーザー、特にそのユーザーの財務情報も危険にさらされています。ウイルス対策およびマルウェア検出ソフトウェアは、このような攻撃からユーザーを保護するのに十分ではありません。できることは、暗号化されたVPN接続を使用して、これらの攻撃者から財務データを隠すことです。

問題は、ブルームバーグの記事が本物かどうかではありません。ここでの本当の懸念は、この種の攻撃の準備ができているかどうかです。

YouTubeのビデオ: AppleとAmazonがサーバー内の中国のスパイチップを拒否

04, 2024